Seguridad archivos - Página 13 de 40 - SmythSys IT Consulting

IPTables y FireHOL: configurando el firewall en un equipo Linux

David G. Smyth (SmythSys) / 9 agosto, 2017

El kernel de Linux incluye un firewall muy potente, Iptables. Este programa está instalado en la mayoría de las distribuciones. Con él se pueden crear reglas de filtrado de paquetes desde muy sencillas a extremadamente complejas. De esta manera, el administrador de un equipo Linux tiene una herramienta muy poderosa para aumentar la seguridad de su sistema. Explicaremos de manera rápida la lógica de Iptables, y sus comandos básicos. Aunque hay que decir que configurar Iptables a mano es una tarea complicada, no es trivial. Además, a todos nos ha pasado, equivocarte en un comando en un cortafuegos puede llevar a que no puedas conectarte tu mismo a la máquina (ten siempre una acceso de seguridad para emergencias). Así que, más adelante, hablaremos sobre un programa que nos ayudará a configurar nuestro firewall. Conceptos de Iptables. Los paquetes puedes entrar (input), salir (output) o pasar (forward) por tu sistema. Las reglas se pueden hacer teniendo en cuenta: Protocolo del paquete (-p=protocol) . Por ejemplo Tcp, udp, icmp.. Origen del paquete (-s=source). Puede ser una ip o un rango de ips. Interfaz de entrada (-i=input) o de salida (-o=output). Por ejemplo eth0, eth1,ppp0… Por el tipo de paquete (input, output o forward). Podemos decir que hag Nateo antes de enrutar (iptables -t nat -P PREROUTING ACCEPT) o después de enrutar (iptables -t nat -P POSTROUTING ACCEPT) o ambos. Para ver las reglas que tenemos configuradas o activas en una tabla podemos hacer: iptables -L O si queremos algo organizado por servicio: iptables -S Con estos comando también podemos filtrar por tipo (Input, output, TCP), por ejemplo: sudo iptables -S TCP sudo iptables -L INPUT Para borrar todos los contadores podemos usar: iptables -Z (podemos especificar por tipo). Para borrar todas las reglas: iptables -F (podemos especificar por tipo). Cuidado que borra todo. Pero como decimos, configurar Iptables a mano puede ser complejo. Así que existen varias soluciones para ayudarte con ello. Hay GUIs (interfaces gráficos) como Firestarter, o programas como FireHOL, del que hablamos hoy. FireHOL es un lenguaje y un programa para ejecutarlo que, aunque no tiene asistente gráfico, nos ayuda mucho a configurar los Iptables. Consta de un fichero de configuración en /etc/firehol/firehol.conf desde el que se configura todo. La sintaxis de FireHOL es sencilla y se basa en la idea típica de los cortafuegos “deniega todo y luego acepta sólo lo que quieres dejar pasar“. El uso es sencillo, puedes poner reglas como server (entrante) o client (saliente). Y definir tus propios servicios como: server_emule_ports=”tcp/4662,64397,7037,23213,25286 udp/4672″ client_emule_ports=”default” Y luego aceptarlos en el interfaz adecuado: server emule accept client emule accept Una vez guardado el fichero no se activan las reglas hasta que hagas: /etc/init.d/firehol restart PERO recomiendo (y esto es una GRAN ventaja) probar primero la configuración antes de grabarla con firehol try Esto activa las nuevas reglas durante 30 segundos hasta que escribas la palabra commit. Si no lo haces (porque algo haya fallado) restaura el cortafuegos anterior (permitiéndote cambiar la configuración. Puedes ver más información aquí: https://firehol.org/guides/firehol-welcome/ https://firehol.org/documentation/#firehol http://firehol.org/tutorial/

Internet, Seguridad, Trucos

Crear una conexión para conectarse a una VPN en Windows 10.

David G. Smyth (SmythSys) / 8 agosto, 2017

Hace unos días os explicamos cómo crear un servidor VPN en Windows 10. Cómo aceptar conexiones entrantes por VPN. Hoy os explicamos la segunda parte: cómo crear una conexión VPN cliente en Windows 10 para poder conectarnos a un servidor VPN. Puede ser un servidor nuestro (creado como en el artículo del otro día) o una VPN cliente. Obviamente no podemos saber ni la configuración exacta de seguridad, ni el usuario, ni la IP o dominio de tu conexión VPN. Esa debes conocerla tu o porque has creado el servidor, o porque te proporcione la información el proveedor. Pero en el vídeo de hoy os explicamos de manera genérica cómo hacer la conexión. Seguramente tendrás que crear la conexión, y luego retocar alguna configuración hasta que se conecte adecuadamente, lo hemos tenido que hacer todos las primeras veces. Y recordad que pronto todos tendremos que estar conectándonos a Internet por VPN si no queremos que nuestra información la tenga el proveedor…y cualquier otra persona que esté espiando nuestra conexión.

Diseño Web, Seguridad, Soporte, Trucos

Valores máximos de subida de archivos y de caché en Cloudflare.

David G. Smyth (SmythSys) / 31 julio, 2017

La semana pasada un cliente tenía problemas al subir ficheros a su web. Había un límite de subida que no conseguíamos encontrar. Todo parecía correcto en la configuración del servidor, pero aún así WordPress daba Http Error y no dejaba subir más de 100Mb. Tras mucho buscar, encontramos la causa: Cloudflare. Cloudflare es una gran herramienta, que sirve tanto como de caché como de “firewall” para tu web. Aumenta la seguridad y optimiza tu página. Hablaremos bastante de esta herramienta en artículos venideros, porque incluso sus versiones Free están muy bien y os contaremos trucos sobre cómo hacer las páginas y los servidores más seguros con Cloudflare. PERO tiene límites tanto en el tamaño de ficheros que puedes subir (bastante ajustados para algunos), como en la caché, y son los siguientes. Subida de ficheros: 100MB para la versión Free También 100MB en la versión Pro 200MB en la Business 500MB en la versión Enterprise Por lo tanto no te dejará subir ficheros de más de esa cantidad, en una misma petición, si pasas a través de Cloudflare. En unos días os enseñaremos un truco con WordPress para evitar ese límite. Fuente. Caché. El máximo que Cloudflare guarda en la caché es 512MB para las versiones Free, Pro, y Business. La versión Enterprise no tiene ese límite. Fuente. Así que si tenéis una página que pasa a través de Cloudflare, sed conscientes de estos límites.

Android, Mac, Noticias Informáticas, Seguridad, Smartphones

Operación RIKATI. Estafas en aplicaciones telefónicas en España. Comprueba si estás afectado

David G. Smyth (SmythSys) / 11 julio, 2017

A finales de junio la Guardia Civil ha anunciado que ha desmantelado, con la operación RIKATI, una organización que ha estafado más de 30.000.000 (30 millones!) de euros en microestafas telefónicas a través de aplicaciones móviles. La operación es una de las mayores realizadas en España contra fraudes de este tipo. #GDTInforma sobre el procedimiento a seguir por los afectados en la #Estafa de la #OperacionRikati. Compruébalo en https://t.co/tUWYbVYuJH pic.twitter.com/ySQHhfU3rp — GDT Guardia Civil (@GDTGuardiaCivil) June 30, 2017 ¿Cómo se realizaban las estafas? Los detenidos habían creado una serie de aplicaciones que, una vez descargadas en el móvil, realizaban tanto llamadas como mensajes SMS a números de tarificación especial (líneas 803X en las llamadas y números “Premium” en los mensajes). Las llamadas se realizaban automáticamente, sin conocimiento de los usuarios, y las aplicaciones llegaban a bajar el volumen del teléfono para poder realizarlas sin que lo detectara el usuario. Las aplicaciones podían configurarse y controlarse remotamente, cambiando contenidos y pudiendo ser eliminadas de los terminales en caso de sospecha. Para hacernos una idea, con sólo 20 números suscritos generaron más de 21.000.000 SMS premium. De hecho las autoridades sospecharon al detectar un gran aumento en las llamadas a ciertos números de tarificación especial. Aún así, la cantidad por usuario era pequeña para no despertar sospechas: “Cada vez que un usuario quedaba suscrito y recibía uno de estos mensajes, se les cobraba un importe cercano a 1,50 euros por mensaje. La media de mensajes recibidos era de entre 20 ó 25, lo que el fraude por perjudicado se eleva a unos 30 euros al mes.” La estafa, por ahora, afecta a más de un millón de usuarios (y creciendo). ¿Cómo se infectaban los usuarios? Las aplicaciones usaban logos de otras más conocidas. Además se anunciaban como gratuitas en las redes sociales, páginas web etc (aunque luego cobraban por la instalación). También se instalaban por malware sin permiso de los usuarios. Comprueba si estás afectado. La Guardia Civil a creado una página web para que los usuarios comprueben si su número está afectado. Si es así, en el mismo portal indica qué pasos hay que realizar para proceder con la denuncia. Podéis comprobarlo pinchando en el siguiente enlace o en la imagen: https://www.gdt.guardiacivil.es/webgdt/inforikati.php Consejos para evitar este tipo de estafas. Os dejamos algún consejo para evitar estos timos: Instala un antivirus o aplicación de seguridad fiable en el móvil. Si, hace fata. Entre otras cosas te bloquea este tipo de timos además de detectar aplicaciones nocivas. Comprueba los permisos de las aplicaciones que vas a instalar. Instala sólo aplicaciones fiables. Usa sólo fuentes seguras y conocidas, como Google Play o el App Store de Apple. Analiza tu terminal cada cierto tiempo con una aplicación de seguridad. Comprueba tu factura.

Noticias Informáticas, Seguridad

Pordede fue hackeado el día 4 de Julio. Si usáis la misma contraseña en otros sitios CAMBIADLA

David G. Smyth (SmythSys) / 6 julio, 2017

Pordede, uno de los portales más usados para ver series online y guardar las que has visto, fue hackeada el día 4 de Julio. Ahora mismo está caída hasta que restablezcan el servicio. Parece ser que el hacker no sólo accedió al servidor y consiguió la base de datos, sino que borró todo lo que había en el mismo. Así que tienen que restaurar de una copia en local de hace meses. Punto importante: Si eres usuario de Pordede, y usas la contraseña que tenías ahí en otros sitios, CÁMBIALAS LO ANTES POSIBLE. Lo más seguro es que ahora vendan las contraseñas y usuarios, o las usen para probar a entrar en tus otras cuentas (correo, Facebook, banco etc). Las contraseñas en la base de datos estaban cifradas con md5…pero eso se puede romper en poco tiempo sin mucha dificultad, así que hay que suponer que se conocen. Parece ser que durante el hackeo, redirigieron Pordede a un sitio falso (phishing), Plusdede.com. Si se te ocurrió entrar en ese sitio tiene tus datos seguro. Aún así, en ambos casos, cambia las contraseñas. Si quieres más información sobre este hackeo, lee este artículo, o sigue la cuenta de Twitter del autor de Pordede. Aprovechamos parar recordaros unos consejos básicos de seguridad: No uséis las mismas contraseñas en varios servicios. Usad programas como Keepass para tener contraseñas seguras y distintas y no tener que recordarlas. Si quieres otro método para ver series, usa Kodi, o usa servicios como Netflix o Amazon Premium.

Compartir, Seguridad, Smartphones, Trucos

Cómo usar el cifrado “end to end” en Telegram con los chats secretos.

David G. Smyth (SmythSys) / 3 julio, 2017

Cuando salió Whatsapp, y luego Telegram, muchos cambiamos a la segunda por muchos motivos. Entre otros la seguridad (bueno, yo también porque la tiene menos gente). La vendían como la aplicación de mensajería más segura, y por aquel entonces lo era. Pero, aunque tardó, Whatsapp activó el cifrado punto a punto (“end to end”) dándole la vuelta a la tortilla y ahora se puede decir que, por defecto, es más segura que Telegram. Por mucho que esta última busque las cosquillas y alegue mil razones como las copias de seguridad. Aunque es cierto que los movimientos de Whatsapp, incluídos los recientes con Facebook, no dan mucha confianza sobre la seguridad de los datos. Ya dijimos el otro día, en el artículo sobre Signal (posiblemente la más segura ahora mismo) que Telegram no activa el cifrado end to end por defecto. Además, también comentamos que usa un protocolo de cifrado propio…algo que no da confianza a muchos expertos porque no es auditable. Hoy os explicamos por qué y cómo usar los chats secretos. Telegram usa o admite dos tipos de cifrado. El cifrado usado en los chats normales (Cloud chats) y el único admisible en los grupales es un cifrado que pasa por el servidor. Es decir en el servidor se almacenan los mensajes y las claves del mensaje del emisor, y luego se envía al otro punto. Esto es de lo que se quejan tanto los expertos, porque si esos servidores reciben un ataque, se puede obtener el texto. No es un cifrado punto a punto. El cifrado en los “chats secretos”, no activado por defecto, es un cifrado punto a punto. El que quieren los expertos y que tiene Whatsapp ahora. ¿Por qué es más seguro? Porque no pasa por el servidor, el mensaje sólo está descifrado en el emisor y en el receptor. Así que son ellos los únicos responsables de ese mensaje y sus claves, y nadie que lo intercepte en el camino puede conocerlo. Porque el servicio no tiene la clave. Por cierto que también se cifran los adjuntos.Para activar los mensajes secretos tienes que abrir Telegram, ir a nuevo mensaje y arriba aparece una opción de Nuevo chat secreto. Elijes el contacto y te indica cómo realizarlo. El gran problema de esto es que tienes que crearlo a mano, no está por defecto. Y es una lata. ¿Por qué no lo habilitan por defecto? Según Telegram para que esta aplicación se pueda usar en todos los países, porque hay países que no admiten esa opción. Algo que parece una excusa, ya que podría desactivarse en esos países. Si queréis más información sobre esto este artículo lo explica muy bien. Aunque escogí Telegram como aplicación de mensajería, algo me dice que cambiaré, probablemente a Signal.

Compartir, Noticias Informáticas, Seguridad

Código malicioso en los subtítulos de plataformas de streaming. Actualizad.

David G. Smyth (SmythSys) / 26 mayo, 2017

Si usas plataformas de streaming o reproductores multimedia para ver películas o series, y las ves con subtítulos CUIDADO. Hace unos días, los investigadores de Check Point han descubierto código malicioso entrando a través de estos ficheros. Lo curioso, es que los antivirus lo dejan pasar, porque lo consideran ficheros de texto normales. Los de Check Point dicen que es el vector de ataque más extendido y fácil de usar que han reportado en años. Tened en cuenta que estiman que cientos de millones de usuarios usan estos reproductores en diferentes dispositivos (ordenadores, móviles, tablets, raspberry etc). “By conducting attacks through subtitles, hackers can take complete control over any device running them. From this point on, the attacker can do whatever he wants with the victim’s machine, whether it is a PC, a smart TV, or a mobile device,”. “The potential damage the attacker can inflict is endless, ranging anywhere from stealing sensitive information, installing ransomware, mass Denial of Service attacks, and much more.” Las plataformas afectas detectadas (pueden haber más) son las más famosas: Kodi, VLC, PopcornTime, Stremio…. La mayoría ya ha sacado actualizaciones de seguridad tapando el vector de ataque. ¿Solución? Actualizar. La de siempre 😀 Kodi avisa, que tienes una actualización, pero hay que ir a la web a descargar la versión. Haced lo mismo para el resto.

Antivirus, Seguridad, Sistemas

Wannacry: NoMoreCry y PowerShell scripts para detectar equipos vulnerables

David G. Smyth (SmythSys) / 16 mayo, 2017

Seguimos con el famoso ransomware de la semana pasada. Insisto que no es nada especial, y que estos virus llevan tiempo funcionando. Este ha sido muy publicitado por los medios y por eso ha generado la alarma que ha generado. Además, si que mandaron una campaña fuerte de correos con el virus y si que ha afectado a muchas empresas y organismos en todo el mundo. Para la gente de IT esto es fantástico, porque muchas empresas están tomando las medidas que pedíamos contra estos virus, y se está prestando la atención que pedíamos. Hoy os queremos dejar dos soluciones que puede ayudaros. PowerShell Scripts para detectar equipos vulnerables. Para poder detectar si un equipo es vulnerable puedes o ejecutar todas las actualizaciones, o usar estos scripts que han proporcionado administradores de sistemas para hacerlo rápidamente. Se ejecutan desde el Power Shell, no desde cmd. Os dejamos dos (no los hemos creado nosotros, no somos responsables). Hemos usado el primero con éxito y si que funciona bien. a) https://gist.github.com/gavsto/b377c405c0cd3709f35ab4a1365bebab b) https://github.com/kieranwalsh/PowerShell/tree/master/Get-WannaCryPatchState NoMoreCry. El CCN-CERT (Centro Criptológico Nacional) ha sacado NoMoreCry, una herramienta para prevenir la ejecución de este virus. A ver, me parece una respuesta al revuelo mediático. Porque ransomwares hay muchos, este sólo para WannaCry y, como dice Chema Alonso en su último artículo, cualquier programa para evitar ransomware pararía este. Obviamente no funciona si el virus ya está en ejecución en el sistema. Y es para equipos Vista en adelante. Pero bueno, si alguien lo quiere os dejo el enlace para NoMoreCry: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND Parece ser que la herramienta bloquea la ejecución de este virus en concreto (no otros). Y que debe ejecutarse en cada reinicio. Por último, os dejamos aquí el acceso al parche que ha sacado Microsoft para los equipos XP. Pero si tenéis XP, os recomendamos encarecidamente que cambiéis de sistema operativo a uno moderno, o instaléis Linux. Os recordamos los consejos para los virus ransomware.

Opinión, Seguridad

¿Por qué entran virus en empresas grandes como Telefónica? Ransomware

David G. Smyth (SmythSys) / 13 mayo, 2017

Hace unos días hemos tenido un ataque que ha afectado a muchas empresas en más de 70 países. En España la más famosa entre los afectados es Telefónica, en Inglaterra los hospitales. Se rumoreaba que, en España, hubiera afectado (y seguro que lo ha hecho) a muchas otras grandes. Mucha gente estaba haciendo bromas sobre por qué entran virus en empresas como Telefónica, y muchos otros haciendo bromas sobre cómo “se la han colado” a Chema Alonso, el famoso hacker (=experto en seguridad), Chief Data Officer de Telefónica y del que tanto hablamos aquí. Los que hemos gestionado varios sistemas, o hemos trabajado en IT (TIC) en empresas grandes comprendemos un poco más qué ha pasado, de hecho en SmythSys lo comentábamos en el momento de la noticia, y este post (que puede que nadie lea), intenta explicar un poco las razones para los que no sean profesionales de informática. Os dejamos varios puntos que creo que aclaran un poco más el tema. Lo primero comentar que, como ha dicho Chema en Twitter, el no es responsable de la seguridad de la LAN (intranet de usuarios y zona afectada) de Telefónica. No puede estar en todo, tiene otras responsabilidades. Para más inri estaba de vacaciones como ha comentado en un gran post. Aún así fue de los primeros en dar la cara, dejó las vacaciones y ayudó a sus compañeros. Lo siguiente es informar de manera resumida (y espero que no muy técnica) cómo se infectaron los sistemas. Fue por un virus ranswomare (WannaCry). Este virus aprovecha un agujero de seguridad (MS17-010) descubierto y “pacheado” (tapado) en Marzo de este año. De hecho forma parte de los agujeros de seguridad que comentamos hace días. Por eso hemos bromeado en Twitter que si Telefonica nos hubiera leído….Si, como si toda una gran empresa va a leer un blog de una pyme. Además no es realista por lo que vamos a comentar más abajo. La entrada del virus es la más frecuente en estos casos, un correo que tiene un adjunto, o un enlace con el virus. El famoso ataque masivo que dice la prensa no es mas que un montón de correos enviados con este enlace. Alguien abre el correo, y pincha donde no debe, se descarga el virus. Por lo tanto la entrada es un usuario que se equivoca. El virus, mientras cifra el contenido de algunos ficheros del ordenador, busca en la red otros ordenadores con la vulnerabilidad. Cuando detecta ordenadores que no están “pacheados”, los infecta. Es decir sólo afecta a ordenadores que no tienen el parche instalado. Cuando un ordenador se infecte, lo mejor es desconectarlo directamente de la red, como hicieron los de Telefónica. Hacer que no afecte a otros equipos. La pregunta que surge entonces (y ahí está una de las claves) es, ¿por qué no aplicaron el parche a todos los equipos? Esto sería lo más razonable, pero no es posible en las grandes empresas. Es muy común tener, en estas empresas, versiones antiguas de sistemas operativos en equipos antiguos. Y sistemas sin parchear. ¿Por qué? Porque tienen muchas equipos con muchas configuraciones distintas. En ellos, muchas veces, hay programas (contabilidad, de gestión, de diseño, hechos a medida, antiguos….) que sólo funcionan con ciertos equipos o versiones de Windows, IE etc. Estos programas suelen ser MUY importantes, y cualquier actualización hay que probarla antes, para que no afecte al funcionamiento del equipo o del programa. No podemos instalar actualizaciones a lo loco, y de repente, ver que nuestro departamento de contabilidad no puede facturar, o que hemos hecho que decenas de ordenadores no arranquen. Esto hace que, en las grandes empresas, siempre existan equipos “vulnerables”. Hay ciertas cosas que la gente debe entender y se refleja muy bien en este caso. NO ES POSIBLE evitar 100% una infección de virus, ni las grandes pueden. Sólo puedo reducir el riesgo y tener mecanismos que minimicen el impacto. Tener copias de seguridad y un plan de acción o contingencia por si ocurre algo parecido. Los informáticos solemos estar acostumbrados a aplicarlos. Cuidado con los ransomware…no hace nada de gracia que te infecte uno de esos virus. Son un riesgo serio del que llevamos tiempo avisando. El punto más inseguro de un sistema son siempre los usuarios. Las infecciones suelen entrar por un usuario que comete un error. Y no hay antivirus, o firewall que evite esto. De nada sirve una verja enorme y una alarma buena, si el usuario abre la puerta y deja pasar al ladrón. No abráis correos de desconocidos ni pinchéis donde no sabéis ¡¡¡LECHE!!! Los parches de Windows no son una tontería. Los particulares y PYMES debemos tener los sistemas actualizados, es una medida esencial para evitar infecciones (reducir el riesgo). Las grandes…lo tienen más difícil.

Seguridad, Sistemas, Trucos

Crear clave pública y clave privada con puttygen para conectarse por SSH

David G. Smyth (SmythSys) / 12 mayo, 2017

Cuando queremos conectarnos por SSH a un servidor, puedes hacerlo por usuario y contraseña o, más seguro, por clave pública y clave privada. Hoy os enseñamos cómo generar estas claves. Este método de clave pública y clave privada quiere decir que en tu ordenador tienes la clave privada y pones en el servidor la clave pública. Entonces al conectarte el servidor pedirá la clave privada correspondiente a esa púbica. Además podemos usar usuario y contraseña y queremos otra capa más. Recomendamos que uséis este método en vuestras conexiones ssh. Para descargaros puttygen tenéis que ir a la página del creador de putty que es esta: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html Después tenéis que seguir el proceso que indicamos en el vídeo: